Уразливість у Apache Tomcat: помилка автентифікації CLIENT_CERT

Виявлено критичну уразливість в Apache Tomcat, що дозволяє обходити автентифікацію CLIENT_CERT. Рекомендується оновлення до останніх версій для безпеки.
CVE-2026-29145CVSS 9.1Web

Уразливість у Apache Tomcat: помилка автентифікації CLIENT_CERT

Виявлено критичну уразливість в Apache Tomcat, що дозволяє обходити автентифікацію CLIENT_CERT. Рекомендується оновлення до останніх версій для безпеки.

CVSS
9.1 CRITICAL
EPSS
49.2%
Активно використовується
немає в KEV
Продукт
tomcat

Що відомо

В Apache Tomcat та Apache Tomcat Native виявлено критичну уразливість, через яку автентифікація CLIENT_CERT не відхиляється належним чином у деяких сценаріях при вимкненому soft fail. Проблема зачіпає кілька версій Tomcat та Tomcat Native і має високий рівень критичності (CVSS 9.1).

Бізнес-вплив

Ця уразливість може дозволити зловмисникам обійти механізми автентифікації клієнтів, що створює ризик несанкціонованого доступу до веб-додатків на базі Apache Tomcat. Для операторів ІТ та власників інфраструктури це означає підвищену загрозу компрометації систем і потенційних витоків даних, що може вплинути на безпеку бізнес-процесів.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити версії Apache Tomcat та Tomcat Native у вашому середовищі та оновити їх до версій Tomcat 11.0.20, 10.1.53, 9.0.116 або Tomcat Native 1.3.7 чи 2.0.14. Якщо оновлення наразі неможливе, слід обмежити доступ, посилити моніторинг логів автентифікації та пріоритезувати виправлення цієї уразливості у планах безпеки.

Джерела